Openvpn Site-site + Squid + auth Radius - Ajuda

victorfmaraujo

Prezados, boa tarde

Estou precisando fazer o squid autenticar via Radius, porém na rede remota.  Meu cenário abaixo

Ambas unidades com a ultima versão release do pfsense amd64

Obs:  HA nas duas pontas

|                       site1                      |                       tunel openvpn udp                      |                       site2                      |
|                     192.168.1.0/24                    |                       172.16.1.0/24                      |                       192.168.2.0/24                      |

Rotas do pfsense

netstat -r

Internet:

| Destination        Gateway            Flags      Netif Expire
default            192.168.50.1      UGS        em2
google-public-dns- 10.255.254.1      UGHS        em1
10.0.0.0          link#4            U          em3
10.0.0.1          link#4            UHS        lo0
10.255.254.0      link#2            U          em1
10.255.254.2      link#2            UHS        lo0
10.255.254.254    link#2            UHS        lo0
localhost          link#8            UH          lo0
172.16.1.1        link#9            UH      ovpnc1
172.16.1.2        link#9            UHS        lo0
fttx.cable-1771226 192.168.50.1      UGHS        em2
192.168.1.0        172.16.1.1        UGS      ovpnc1
192.168.2.0        link#1            U          em0
fw1vital          link#1            UHS        lo0
192.168.2.254      link#1            UHS        lo0
192.168.50.0      link#3            U          em2
192.168.50.2      link#3            UHS        lo0
192.168.50.254    link#3            UHS        lo0 |

Necessidade:  autenticar no servidor radius (Através do pfsense no site 2) já configurado, testado e funcionando no site 1 com o ip 192.168.1.3

Testes já realizados:
Ping OK
Acesso à compartilhamento via \ OK
Teste de autenticação em um pfsense local OK
Teste de ping direto no console do pfsense OK
Porta em modo Listen no servidor Radius OK

Alguém tem alguma luz do que possa estar ocorrendo ou alguma dica?

marcelloc

Já monitorou o tráfego pra ver o que não está funcionando nessa autenticação?

victorfmaraujo

@marcelloc:

Já monitorou o tráfego pra ver o que não está funcionando nessa autenticação?

tentei tcpdump e não houve nenhum tráfego.

Testei adcionando um servidor de autenticação em System > user manager > authentication server e depois em
diagnostics > authentication

fiz o tcpdump pela localhost e pela lan e não houve nenhum tráfego.

victorfmaraujo

Marceloc, rodei o tcpdump na interface openvpn, o que ocorre é a requisição de acesso até dar timeout.

fiz um teste de ping pelo pfsense com source a interface localhost e não obtenho resposta.  será esse o problema?  O fato da Interface localhost não se comunicar com a LAN do Site 2?

o que sugere?

victorfmaraujo

Esquece, consegui identificar.

o que ocorre é um Nat, quando o pacote entra no túnel, o endereço de origem do pacote muda fazendo com que a requisição chegue em meu servidor radius como 172.16.1.2 ao invés do cadastrado no servidor NAP

obrigado!